Je regardais cette semaine les derniers bulletins de Cybermalveillance.gouv.fr en buvant mon café, et j’avoue que j’ai eu un petit vertige. En quelques mois, on a enchaîné la fuite ANTS (entre 11 et 19 millions de comptes potentiellement touchés selon les sources), les 12 millions de salariés exposés par l’incident URSSAF, le piratage du fichier FICOBA, Cegedim et ses 15 millions de dossiers santé, Service-public.fr, France Travail, les 27 millions d’euros d’amende infligés par la CNIL à Free Mobile, et une trentaine de fédérations sportives dont la fédération française d’athlétisme qui, en 2026, stockait encore des mots de passe en clair dans sa base. Même la Carte Jeune Occitanie et Mes Rendez-Vous côté étudiant y sont passés.
Je ne vais pas te mentir : si ton adresse mail traîne sur Internet depuis cinq ans, elle est forcément dans au moins une de ces fuites. Le premier réflexe de beaucoup de gens, c’est d’aller changer leur mot de passe sur le site concerné. C’est bien. Mais ça ne suffit plus, et je vais t’expliquer pourquoi dans les lignes qui suivent.
Le problème n’a jamais vraiment été la force du mot de passe
Pendant des années, on nous a matraqué le même message : « choisis un mot de passe long, avec des majuscules, des chiffres, un caractère spécial, un hiéroglyphe égyptien et une signature ADN ». Résultat, tout le monde a fini par utiliser Julien2020! partout, parce qu’en vrai, l’humain n’est pas fait pour retenir 200 chaînes aléatoires. Et 200, ce n’est pas une exagération : c’est la moyenne du nombre de comptes qu’un internaute français détient aujourd’hui.
Le vrai souci, ce n’est pas qu’un attaquant « devine » ton mot de passe. C’est qu’il n’a plus besoin de le deviner. Les bases issues des grosses fuites tournent librement sur des forums spécialisés, souvent à moitié déchiffrées. Et là où ça devient moche, c’est qu’on parle d’une technique industrielle appelée credential stuffing : les pirates prennent tes identifiants volés chez un prestataire B, et les rejouent automatiquement sur Gmail, Netflix, ta banque, Amazon, LinkedIn, ton compte impôts. S’ils tombent juste sur un seul service, c’est gagné.
J’ai testé récemment mon adresse principale sur Have I Been Pwned. Sept fuites, dont deux que je n’avais jamais vues passer dans la presse. Sept. Et je suis quelqu’un qui fait attention.
L’effet domino que personne ne voit venir
Ce qui rend l’année 2026 particulièrement pénible, c’est la combinaison de deux tendances qui se renforcent l’une l’autre.
La première, c’est la multiplication des fuites de données non-mot-de-passe : nom, date de naissance, adresse, employeur, numéro SIRET, IBAN, type de véhicule. Prises isolément, ces infos n’ouvrent aucune porte. Mais croisées entre elles, elles permettent aux attaquants de fabriquer des campagnes de phishing ultra-ciblées. Tu reçois un SMS qui cite ton employeur exact, ta date d’embauche, ton numéro de contrat Urssaf, ton adresse. Tu cliques, parce que franchement, comment soupçonner une arnaque qui connaît tout de toi ?
La deuxième tendance, c’est l’IA générative côté attaquants. Les faux SMS de colis sont désormais accompagnés de photos générées montrant ton paquet, avec ton nom sur l’étiquette. Les voix clonées de patrons pour la fraude au président prennent 30 secondes à produire. Et surtout, les variantes de mots de passe sont désormais prédites par modèles : si tu utilisais Julien2020!, le système teste automatiquement Julien2021!, Julien2022!, Julien!2020, Marseille2020! parce qu’il sait où tu habites.
Bref, ta créativité humaine ne fait plus le poids contre une machine qui fait 50 000 tentatives par seconde en connaissant ta vie.
La seule parade réaliste : un mot de passe unique par service
C’est la théorie que tout le monde connaît sans jamais l’appliquer. Un mot de passe unique, long, aléatoire, pour chaque site. Ça casse immédiatement le credential stuffing, puisque l’identifiant volé chez le prestataire B ne sert à rien sur Gmail.
Le problème, encore une fois, c’est la mémoire. Personne ne retient 200 chaînes de 24 caractères aléatoires. Et écrire ça dans un fichier Excel ou un post-it, c’est le retour au point de départ.
C’est là qu’un gestionnaire de mots de passe arrête d’être un gadget pour geeks et devient un outil d’hygiène numérique de base, au même titre qu’un antivirus il y a vingt ans. Tu retiens un seul mot de passe maître (très fort, très long, jamais utilisé ailleurs), et le logiciel se charge de générer, stocker et remplir tous les autres. L’idée n’est pas révolutionnaire, mais sa bonne application change littéralement ta surface d’attaque.
Open source, chiffrement bout-en-bout, auto-hébergement : les vrais critères
Là où ça devient intéressant, c’est dans le choix du gestionnaire. Et là je te parle d’expérience, parce que j’en ai testé plusieurs pour julsa.fr.
Trois critères me semblent non négociables en 2026.
Le chiffrement zero-knowledge côté client. Concrètement, tes données doivent être chiffrées sur ton appareil, avant d’être envoyées au serveur. Même si le fournisseur se fait pirater demain (et plusieurs gros noms y sont passés), les attaquants n’obtiennent que de la soupe illisible. Ton mot de passe maître ne quitte jamais ton ordinateur.
Le code open source. J’ai longtemps cru que c’était un détail d’idéologie. Plus maintenant. Un code public, auditable par n’importe quel chercheur, c’est la seule garantie qu’il n’existe pas de porte dérobée, pas de collecte cachée, pas de vulnérabilité dissimulée. Quand on te vend une « boîte noire » pour garder tes secrets les plus sensibles, il y a un problème logique.
La possibilité d’auto-héberger. Ce critère intéresse surtout les TPE, les freelances qui gèrent des accès clients sensibles, les développeurs, ou les profils un peu parano (je m’inclus dedans). L’idée : faire tourner le serveur sur ta propre machine ou ton propre VPS, derrière tes pare-feux, avec zéro donnée chez un tiers américain soumis au Cloud Act. C’est typiquement ce que propose le Gestionnaire de mots de passe Psono, un outil open source allemand conçu pour les équipes, avec chiffrement multi-couches, intégration LDAP/SAML/OIDC, et une édition communautaire complètement gratuite qu’on peut déployer en Docker sur un petit serveur. Il est d’ailleurs référencé côté administrations françaises sur Comptoir du Libre. Dans la même famille de logique, on trouve aussi Bitwarden (également auto-hébergeable) ou KeePassXC en version 100 % locale, chacun avec ses compromis ergonomiques.
Je ne vais pas te faire un classement : le meilleur gestionnaire, c’est celui que tu vas réellement utiliser au quotidien. Si l’interface te gave, tu retourneras au fichier Excel dans deux semaines.
La 2FA, le deuxième étage de la fusée
Un gestionnaire de mots de passe uniques, c’est la première couche. La deuxième, c’est la double authentification sur tes comptes critiques : mail principal, banque, impôts, FranceConnect, cloud, réseaux sociaux principaux.
Et petit conseil qui fait la différence : évite la 2FA par SMS quand tu peux. Les SIM swaps (détournement de ta carte SIM par ingénierie sociale) existent et se démocratisent. Privilégie une application d’authentification (Aegis, Raivo, ou la fonction TOTP intégrée à ton gestionnaire) ou, mieux, une clé physique type YubiKey pour ton mail principal.
Les passkeys commencent aussi à se généraliser sur Google, Apple, Microsoft, GitHub. Le principe est simple : plus de mot de passe du tout, une clé cryptographique liée à ton appareil biométrique. C’est probablement l’avenir. En attendant que tous les services suivent, un bon gestionnaire fait le pont.
Ma routine concrète, en cinq minutes par semaine
Pour finir sur du pragmatique, voilà ce que je fais personnellement depuis un an et demi.
Je passe sur Have I Been Pwned une fois par mois pour surveiller mes adresses principales. Dès qu’un service où j’ai un compte apparaît, je change le mot de passe concerné dans la foulée.
Je n’enregistre plus aucun identifiant dans Chrome ou Safari. La tentation est énorme, je sais, mais c’est le pire endroit possible : un logiciel malveillant qui passe, et c’est open bar.
Je génère systématiquement des mots de passe de 20 caractères aléatoires pour les nouveaux comptes. Je ne les lis même pas, je ne cherche pas à les retenir.
J’ai activé la 2FA partout où c’est possible, et migré vers des passkeys pour Google, Microsoft et mon compte Apple.
Et surtout, j’ai un code d’urgence imprimé et rangé ailleurs que sur mon ordinateur, au cas où j’oublierais mon mot de passe maître. Parce que oui, le jour où tu perds ça, tu perds tout d’un coup. C’est le prix à payer pour avoir un vrai chiffrement.
Ce n’est pas de la parano, c’est de l’hygiène
Je comprends ceux qui trouvent ça lourd. C’est lourd. Mais la vérité, c’est que le niveau de menace a changé d’échelle ces dernières années, et que la culture numérique française met du temps à suivre. Tant que tu ne t’es pas fait vider un compte ou usurper ton identité, tu trouves ça abstrait. Le jour où ça t’arrive, tu regrettes amèrement les dix minutes que tu n’as pas prises.
Configurer un gestionnaire de mots de passe et activer la 2FA sur ses comptes critiques prend une soirée, pas plus. Et ça te met au-dessus de 90 % des cibles potentielles. Un attaquant qui fait du credential stuffing industriel ne va pas s’acharner sur toi s’il a des millions de poissons plus faciles à pêcher.
À ta place, je ne parierais plus sur la chance.
